平成30年度秋の情報セキュリティマネジメント試験午後試験は、次の分野がでました。
- 設問1 ビジネスメール詐欺、インターネットバンキング
- 設問2 リスク対応
- 設問3 標的型メール攻撃への対応
では最初に設問1のビジネスメール詐欺、インターネットバンキングの問題から行ってみましょう!
平成30年秋情報セキュリティマネジメント試験午後 問題1ビジネスメール・インターネットバンキング
平成30年秋の情報セキュリティマネジメント試験は、インターネットバンキングについて問うています。まずは話に出てくる人と使っているITリソースをまとめてみます。
設問1で登場する会社の人たち
続いて、承認するときの業務フローは次のような感じです。業務フローというのは、仕事の流れ、ですね。F社ではインターネットバンキングをするときに、次のようなお仕事の仕方をしています。
F社の仕事の仕方
2.L課長がM主任の振込依頼書を承認する(1の仕事にOKを出す)
3.Nさんが振込依頼書に基づいた内容を入力し、データ的な承認依頼をする
4.M主任が(Nさんが作った)承認依頼を確認し、承認する。※M主任が内容を修正して承認することもできる
5.M主任が振込依頼情報に追記し、振込依頼書をキャビネットに保管する
■個人情報を扱う事業者すべてが対象になった
登場人物と仕事の仕方を頭にいれ、設問を見ていきます。
設問1
設問1は、「インターネットバンキングを行うPCの中に、ディジタル証明書と秘密鍵を入れず、ICカードの中に入れる目的は?」という問題です。
なぜICカードに入れるのか?をポイントに考えてみます。PCの中にディジタル証明書と秘密鍵を入れずのウィルス感染による情報漏洩を防ごうとしているのですね。
PCの中にディジタル証明書や秘密鍵を入れていると、ウィルスに感染したときに盗まれてしまいます。そのため、証明書と秘密鍵を物理的にPCから切り離す必要があります。
よって答えは「ア」です。
設問2
設問2は、「M主任が内部不正を働くおそれに対して、内部不正を思いとどまらせるために有効な牽制手段は?」という問題です。
「牽制」っていいね。見てるぞー、するなよー、不正見つけるよー、という姿勢が言葉にあらわれています
設問2は「内部不正」に関することを問うています。ポイントは、Nさんから承認依頼を受け取ったM主任が承認、および承認する際の修正を自分で全部できてしまうことです。
Ⅿ主任一人で仕事を完了させない仕組みが必要です。なので誰かが登場すると良いですね。これは簡単。L課長に登場してもらい、L課長がM主任の仕事をチェックすればよいです。
よって答えは「イ」です。
設問3
設問3では、インターネットバンキングをするときの、情報セキュリティリスク全体への対策について問うています。
問題では、6つのリスクがあると挙げています。そのうち3つが答えるべき「問題」になっていますね。
- インターネットバンキングのPCへの不正アクセス→省略
- インターネットバンキングPCのマルウェア感染→【対策】「問題」の「a1、a2、a3」
- ICカードの紛失・盗難→【対策】利用するとき以外はICカードをキャビネットに入れる
- 問題b1→【対策】ICカードのパスワードを難しくする。インターネットバンキングのパスワードを難しくする
- 問題b2→【対策】トークンを各自のロッカーに入れる、振込操作を知らせるメールを経理担当者3名に送る
- 問題b3→【対策】振込操作を知らせるメールを経理担当者3名に送る
(1)「a1、a2、a3」に入るもの
インターネットバンキングを行うPCに対し、マルウェアに感染させないような対策を選べばよいです。
以下の設問から選びます。
ⅰ.インターネットバンキング専用PCでメール利用を禁止する
ⅱ.インターネットバンキング専用PCのOSにログインするには、経理担当者専用の共有アカウントを使う
ⅲ.インターネットバンキング専用PCは社内ネットワークに接続せずに、ネットに直接つなぐ
ⅳ.インターネットバンキング専用PCから社内ネットワークのファイルサーバーへのアクセスは、企画管理部の共有フォルダへのアクセスだけを許可する
ⅴ.インターネットバンキング専用PCでは、許可しないUSBポートを物理的に閉鎖する
ⅵ.プロキシで社外サイトのアクセスは、OSのアップデートとマルウェア定義ファイルのアップデートだけを許可するよう設定する
どれも合ってそうに思いますが、よーーーく読むと「それ絶対違うよね?!」ってのがあります。
情報セキュリティマネジメント試験のお得意技ですよ!
なので、消去法で消していくのもアリです。
ⅱの経理担当者専用の共有アカウントを使う、は絶対違うとわかります。セキュリティに共有アカウントはアウトです。
ほかにも
ⅵのインターネットアクセスを限定してしまうと、ネットバンキングできなくなる、という選択肢もあります。ひっかけ問題です。
また、ⅲのネットに直接つなぐ、というのも危険がいっぱいだとわかります。
そうやって消去していくと、ⅰ、ⅳ、ⅴ、と答えが出てきます。
(2)b1、b2、b3」に入るもの
b1の対策内容:
「暗証番号やパスワードを推測されにくいものにする」
暗証番号や、パスワードを推測されにくいものにするのは、誰かに勝手に暗証番号やパスワードを使われて、不正ログインされないための対策です。なので、答えはⅰ
b2の対策内容:
「トークンを施錠保管する。振込操作を知らせるために経理担当者3名のメールアドレスを登録する」
トークンを施錠保管、ということで、自分以外の誰かによる不正操作を防ごうとしています。不正操作の対策は、ⅳ、ⅵが該当します。
ⅳは、トークンではなく利用者IDを使う、とあるので違う。そのため答えはⅵです。
b3の対策内容:
「振込操作を知らせるために経理担当者3名のメールアドレスを登録する」
b2の問題から、「トークンを施錠保管」が消えただけです。
なので、これは内部の人間による不正を防ごうとしています。
答えはⅳ
設問4
設問4は午前問題の応用編のような感じで比較的解きやすいです。少しラッキー問題ですね。
(1)不正を働く手口の問題
ブラウザの画面では正しく処理が行われているようにみえても、マルウェアがサーバーとブラウザの送受信データを改ざんして、不正なデータに置き換える攻撃のことを言っています。MITB(Man in the Browser)です。
(2)MITB攻撃にはトランザクション認証
(2)の問題は、(1)に対する有効な手段を問う問題です。MITB攻撃に対する有効な対策は、トランザクション認証です。
ちなみに、トランザクション認証についておさらいしておきましょう。ほぼすべての銀行が取り入れている認証方法です。
トランザクション認証とは、お客さまが行った取引(トランザクション)の内容が通信の途中で改ざんされていないことを確認し、実行する方法です。
三井住友信託銀行公式サイトより
■トランザクション認証で、正しい口座番号、トークンの秘密鍵を使うことで振込送金先情報の不正な変更を防ぐことができる
・攻撃者は、ワンタイムパスワードを流用できない
・ワンタイムパスワードは、振込先の口座番号から作られる(攻撃者が自分の口座番号に変更しようとしても、ワンタイムパスワードと合致しないから失敗する)
設問5
設問5では、内部不正に関する問題です。
なーんと!会社内に不正を働いた犯人がいた事がわかりました。その不正の方法や、再発を防ぐための対策について問うているものです。
(1)メールの盗み見
不正を働いた元社員(犯人)は、「職場で自分のPCを使って経理部長のメールを見ていた」と書かれています。
そのため、部長が使っているメールクライアントソフトとは別のメールクライアントソフトを使っていたはず・・・
メールクライアントソフトがどういう動きをしているのか考えたらわかりますね。メールクライアントソフトは、サーバーにいちいち「メール来てますか?」と問い合わせて、受信要求をしています。
部長以外のものが、メールサーバに受信要求をしていた痕跡をしらべれば、犯人がわかります。
したがって。メールの受信要求のログから犯人を特定します。答えは「ウ」
(2)よく似たドメインの作成
問題の図3、表2を見ると、よく似たドメインをわざわざ作成している様子がうかがえます。これはプロの仕業・・・・。
ドメインを取得するには、自分でサーバーを作らないといけません。
わざわざドメインを作ってまで不正を働こうとしていたものを解答群から探せばよいです。したがって答えは「エ」です。
(3)騙されないための対策と不正閲覧への対策
問題では「第3者によるメールの不正な閲覧への対策にもなるので、できれば取引先にxxxを使ってもらいたい」とあります。
さて、xxxとはなんでしょう?これを考えます。
偽メールに騙されないうえ、第3者による不正な閲覧を防ぐ方法を解答群から探せばよいです。
S/MIMEによるディジタル署名付き暗号メールが有効です。答えは「ウ」。
(4)取引先への確認と内部の教育
問題での会話の内容はこれです。
- 「振込に関するメールのやり取りは◯◯が良い」
- 「そのためには◯◯ことも必要です」
この2つの会話から対策を考えて答えます。
アホくさいですが、偽メールに対して効果のある方法は、相手にメール以外の方法(電話など)を使って確認する方法です。
さらに、えー、わざわざ電話するの?仕事増えるじゃん!と文句が出ないように電話で確認する必要性を経理担当者に教育する必要があります。
したがって答えは「ウ」。
(5)変更・承認の権限分離
問題での会話です。
- M主任が自分1人の判断で取引先口座マスタ中のB社の口座情報を変更できた
この事が問題だ、と話しています。
さらに、対策「f2」を立てる事で、次の事が出来る様になる、と話してます。
- 振込依頼書の書類が廃止できる
ポイントは、承認と紙で作っていた振込依頼書を廃止、ということが書かれています。したがって答えは「ⅱ」と「ⅵ」の「ウ」です。
平成30年度秋・情報セキュリティマネジメント試験午後 問題2リスク対応
つづいて問題2です。ECサイトを販売しているA社についての問題です。
設問1
(1)OSのパッチが保守切れ。どうする?
設問1では、使用している掲示板についての問題点を問われています。
「掲示板システムが使用しているバージョンのOSは、標準サポート契約期間が切れている。延長サポートサービスが提供されているが、A社は契約していないので、OSベンダからパッチが適用されない。そのため既知の脆弱性があり、対応が必要」
掲示板システムの特徴を読み取れば簡単に解くことができます。
- 社内LANからだけアクセスできる
- ほぼ毎日社員が使っている(とめることができない。とめると業務が止まる)
- 個人情報はなく、業務マニュアルなどが載っている
これらの特徴をよみとれば、解答は「延長サポートしつつ、本番に乗り換える準備をする」という「ア」が正解です。
(2)退職後の秘密保持について
設問2は「退職後の秘密保持」に関する問題です。問題文から入社したときに秘密保持契約書に条項を追加すると問題は解決できる、と読み取れます。
このことから、正解は「エ」。
退職したときに、退職契約書への署名に拒否されることがあった、ですね。このことから、退職時よりも入社したときに秘密保持契約を結んだほうがよい、と指摘されているのです。
退職するときに、やめる会社に協力的なのはごく一部なのかもしれない・・・。
(3)退職した人のIDの処理
A社では退職した社員のIDがそのまま残っていることがあるようです。問題(3)では、退職した人のIDをどうやって管理するかを問う問題です。
A社は退職した人のIDを削除するために、定期的にIDの棚卸をすることにしました。棚卸するときの手順を問うています。
手順1:人事部から前回棚卸以後に退職した従業員一覧を入手する
手順2:「a」
手順3:「b」
手順4:不要な従業員IDの無効化を各システム管理者に申請する
問題a:IDの一覧を誰から入手すればよいか、ということです。各システム管理者から入手するのがよいので、答えは「ア」です。
問題b:無効化できるIDを確認できるのは、やはり各システムを用いる業務システムの責任者です。したがって答えは「キ」です。
(4)高リスクソフトのブラックリスト登録
情報セキュリティ担当のEさんは、コンサルタントのPさんに「インターネットで高リスクソフトを探し、一覧作成します。その一覧を対策ソフトのブラックリストに登録」することを提案しました。その案に対しPさんが言うには・・・・。
というのが問題です。Eさんの案は以下の問題を含んでいます。
- ネットでの調査から高リスクソフトを探し出すのは難しい
- リストを最新にし続けるのも難しい
よって答えは、「ア」「ウ」です。
(5)ソフトのホワイトリスト登録
続いては、申請されたソフトのホワイトリスト作成についてです。ブラックリストの作成が難しいのと同じように、申請されたソフトがホワイトリストかどうか確認するのも大変です・・・。
よって答えは「ア」「イ」「ウ」です。
(6)データのバックアップについて
(6)の問題はこうです。
ファイルサーバとデータのバックアップに関するリスクと対策です。設問1~4に対する対策について回答する必要があります。
1、ファイルサーバ上のデータを誤操作。ランサムウェアによって暗号化された結果、データを利用できなくなる。
2、ファイルサーバ周辺で火事発生。データが燃えてなくなった
3、バックアップ取得を失敗していることに気が付かない
4、バックアップ設定を間違えていて、必要なデータのバックアップが取得できない
1に対する答え
バックアップの頻度を高めることがリスクの低減につながります。したがって、増分バックアプでちょこちょこバックアップをしておけば良いです。答えは「イ」
2に対する答え
あるところのデータが火事にあっても、離れた場所でデータがバックアップできてればよいです。このことを遠隔地バックアップといいます。答えは「キ」
3に対する答え
エラーに対してなんらかの発砲をして、管理者に通達すればよいです。答えは「オ」
4に対する答え
バックしたものと、取得したバックアップを比べることで、バックアップ漏れに気が付きます。よって答えは「ア」です。
(7)クレジットカードのセキュリティ
PCIDSS(日本カードセキュリティ協議会)は、カード会員情報を守るため、国際カードブランド5社が、共同で策定したクレジットカードのセキュリティ標準です。2018年6月1日には、クレジットカード情報を持たないことが義務付けられました。よって答えは「イ」です。
平成30年度秋・情報セキュリティマネジメント試験午後 問題3
平成30年度秋、情報セキュリティマネジメント試験午後、最後の問題は、標的型メール攻撃への対応訓練の問題です。
設問1 標的型攻撃訓練の目的
標的型攻撃訓練を実施する目的を問うています。おおぉっとその前に、標的型攻撃訓練とはなんでしょう。
悪意を持った標的型メール攻撃に対して、きちんと対応できるように、シミュレーションすることです。標的型メールを装ったメール攻撃を社員へ送付し、対応方法など身につけさせる体験学習型の訓練です。
標的型攻撃訓練を実施する目的は、二つです。
- メール受信者が不審なメールに気が付けるようになること
- 不審なメールを受信した社員が、決められた手順通りに対応できるようになること
以上のポイントを踏まえると、解答はおのずと見えてきます。「ⅴ」「ⅶ」「ⅷ」の「ケ」が正解です。
設問2「なりすまし」の目的、標的型攻撃訓練の懸案事項
(1)
設問2は(1)簡単ですね。悪意を持った攻撃者が、②のように「実在する組織がメール本文と添付ファイルを作成したかのように装うのはなぜか」ということです。
答えは簡単です。メール受信者に不審なメールだと気が付かせないようにすることです。よって答えは「エ」
(2)
これはややこしいですね。実際に存在する組織を訓練用メールの差出人にするので、次のような懸案事項が起こります。
- 実際に存在する組織からのメールだと本気で信じてしまい、当該組織に問い合わせをしてしまう
当該組織に対して問い合わせ、その他注意喚起などのことを考えると答えがでてきます。答えは「ウ」「キ」です。
設問3
設問3は簡単です。問題文を読めばわかります。問題文の中に「インターネットから転送されたメールの差出人メールアドレスがX社ドメインである場合、当該メールを破棄する」と書いてあります。
なので、答えは「エ」
設問4
(1)
設問4は添付ファイルをつけたまま転送するとどうなるか、というのを問うています。問題のように、添付アファイルがマルウェアだと、メールを転送された人が、マルウェアを実行してしまう可能性があります。
マルウェアを実行してしまった後に、考えられるものは、「ⅱ」です。よって答えは「エ」。
ちなみに、(ⅲ)のコネクトバック通信というのは、マルウェアに感染した端末が内側から、外側にいる攻撃者へ通信を行う方式です。内部に入り込んでしまえば、発見が難しいことをついた手口です。
(2)
マルウェア検査サイトで、入手したファイルは他人から悪用されないとも限りません。そのため、マルウェア検査サイトにアップしたマルウェアで、次のことが起こりえます。
・会員の個人情報漏洩
・会員のメールアドレス宛にフィッシングメールが送られる
(3)
添付ファイルを開けてしまった数が高かったので、それに対する対策について問うています。これも簡単。定期的に訓練すること。
さらに使ってはいけないサイトへは、技術的にフィルタリングすることです。よって答えは「カ」「オ」です。
- 徹底的な教育・訓練
- フィルタリングなど技術的に防御すること
- 規定をつくり禁止事項を作る
まとめ・むむむ・・・。読むための集中力が必要だ
平成30年度秋の情報セキュリティマネジメント試験、どうでしたでしょうか。ひっかけ問題が多かった?ような感じがしないでもありません。
問題文が長いので、登場している会社が何をしているのかしっかり読み取るための集中力が必要です。文字に、問題になれるのが合格への近道です。
■インターネットバンキングできるPCは1台のみ
■ディジタル証明書と秘密鍵の入ったICカードと、ICカードリーダをC銀行から借りている
■振込する際は、承認依頼と承認と2回の操作にわかれる
■振込の際は、ワンタイムパスワードが発行される